Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1262 sayılı Karar Özeti


“Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1262 sayılı Karar Özeti

 

Karar Tarihi : 16/12/2021
Karar No : 2021/1262
Konu Özeti : Bir sigorta şirketi tarafından ilgili kişinin banka verilerinin işlenmesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin banka bilgilerini veri sorumlusu sigorta şirketi ile paylaşmadığı halde bu bilgilerin sigorta şirketi tarafından hukuka aykırı olarak işlendiği, ilgili kişinin konuya ilişkin olarak veri sorumlusundan vekili aracılığıyla bilgi talebinde bulunduğu, ayrıca kişisel verilerinin silinmesi veya yok edilmesinin talep edildiği ancak başvurusunun yanıtsız bırakıldığı belirtilerek veri sorumlusu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;

  • İlgili kişinin yazılı başvurusunun öncelikle usulü açıdan değerlendirildiği, ilgili kişinin kendilerine başvurusunda, dilekçe ekinde yer alan vekâletnamenin dava aşamasındaki yetkileri içeren “genel vekâletname” niteliğinde olduğu, vekaleten istenen bilgilerin kişiye sıkı sıkıya bağlı hak olarak değerlendirilen kişisel verilerin işlenmesine yönelik olduğundan ve kişisel veri ve daha hassas bir koruma gerektiren özel nitelikli kişisel verileri de içerebilme ihtimali bulunduğundan ilgili kişi adına bilgi talep eden ve Kişisel Verilerin Korunması Kanunun 11 inci maddesi kapsamındaki hakları ilgili kişi adına kullanan vekilin, bu hakları kullanabilmek için özel yetki içeren vekalete sahip olması gerektiğinin değerlendirildiği, 
  • Açık bir şekilde özel vekaletname ile başvuru yapılabileceğinin “Başvuru Formu”nda yazılı olarak belirtilmesine rağmen, taraflarına usulüne uygun bir başvuru yapılmadığı; veri sorumlusuna başvuru yolunun tüketilmeden Kurula şikayette bulunulamayacağı bu nedenle Kanunun 14 üncü maddesi gereği ilgili kişinin şikayetinin reddedilmesi gerektiği, 
  • Taraflarının sigortacılık faaliyetlerini yürütmekte ve bu amaçla çeşitli sigorta acenteleri ile işbirliği yapmakta olduğu, şirketlerinde ilgili kişiye ait, acenteleri sıfatıyla ….Bankası aracılığı ile yapılmış sigorta poliçelerinin olduğu ve söz konusu banka bilgilerinin poliçelerle bağlantılı olarak acenteleri … Bankası tarafından sağlandığının tespit edildiği,
  • Taraflarına iletilen banka bilgilerinin; hesap tipi, banka kodu, hesap türü, şube kodu, döviz bilgisi, hesap numarası, kullanım amacı, IBAN numarası bilgileri olduğu; anılan verilerin işlenme amacının poliçe prim tahsilatının yapılabilmesi ve poliçeden doğan yükümlülüklerinin yerine getirilmesi olduğu,
  • Şikâyete konu bilgi paylaşımının acenteleri sıfatıyla … Bankası tarafından ilgili kişi için tanzim edilen poliçelere istinaden gerçekleştirildiği, bu doğrultuda satışını gerçekleştirdikleri poliçelere ilişkin hasarın tespiti ve tanzim edilmesinin hukuki bir zorunluluk olduğu, 
  • Şikayete konu olayda, ilgili kişiye ait kasko poliçesi kapsamındaki hasar talepleri için Tüketici Hakem Heyetine başvurulduğu, verilen kararda ilgili kişiye ödeme yapılmasına hükmedildiği, poliçeden doğan kesinleşmiş yargı kararı ile sabit hasarı tazmin etme yükümlülüğünün yerine getirilmesi amacıyla Kişisel Verilerin Korunması Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" ve (ç) bendinde belirtilen "Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" hukuki sebeplerine dayanılarak Şirket kayıtlarında bulunan banka hesabına ödeme yapılması suretiyle ilgili kişinin banka bilgilerinin işlendiği,
  • Yapılan araştırmada, ilgili kişinin şikâyete konu bilgilerinin yurt içi ve yurt dışındaki herhangi bir kişi ya da kurumla paylaşılmadığının tespit edildiği, söz konusu verilerin yalnızca Tüketici Hakem Heyeti kararının yerine getirilmesi amacıyla, ilgili Banka nezdindeki sigorta şirketi hesaplarından şikâyete konu banka hesap numarasına ödeme işlemlerinin tamamlanması amacıyla işlendiği,
  • Tüketici Hakem Heyeti kararının yerine getirilmesi amacıyla yapılan ödemeye ilişkin hesap bilgilerinin yasal yükümlülük gereği 10 yıl muhafaza edileceği

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 16/12/2021 tarih ve 2021/1262 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, bu çerçevede şikâyete konu olayda sigorta şirketinin veri sorumlusu olduğu, Bankanın sigorta acentesi olarak ilgili kişi ve veri sorumlusu arasında sözleşme ilişkisinin kurulmasında veri sorumlusu adına hareket ederek veri sorumlusuna veri işleyen olarak hizmet sunduğu, 
  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinde “(1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. (2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır… (3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir…” hükmünün yer aldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru Usulü” başlığını taşıyan 5’inci maddesinin birinci fıkrasında “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” hükmü ifade edilerek başvuruda bulunması zorunlu unsurlar; ad, soyad, başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ile talep konusu olarak ayrıca sayıldığı,
  • Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinin “(1) Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. (2) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder. (3) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. (4) Cevap yazısının; a) Veri sorumlusu veya temsilcisine ait bilgileri, b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını, c) Talep konusunu, ç) Veri sorumlusunun başvuruya ilişkin açıklamalarını, içermesi zorunludur. (5) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir. (6) İlgili kişinin talebinin kabul edilmesi halinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.” hükmünü haiz olduğu,
  • Somut olayda, ilgili kişinin vekili aracılığıyla veri sorumlusuna ilettiği başvurunun veri sorumlusu tarafından teslim alınması ve özel yetki içeren vekâletname bulunmaması sebebiyle cevaplanmamasına karşılık, kişisel verilerin korunması mevzuatında ilgili kişilerin vekilleri aracılığıyla yapacakları başvurularda özel vekaletname gerektiğine ilişkin bir düzenleme bulunmadığından veri sorumlularınca vekâletnamede “özel yetki” şartı aranmaması gerektiği,
  • Ayrıca Tebliğ’in “Başvuruya cevap” başlıklı 6’ncı maddesinin ikinci fıkrasında “Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.” Hükmüne karşılık veri sorumlusunun ret gerekçesini ilgili kişiye bildirmediği anlaşıldığından veri sorumlusunun Tebliğ’e aykırı hareket ettiği,
  • Öte yandan Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a)    Hukuka ve dürüstlük kurallarına uygun olma,
b)    Doğru ve gerektiğinde güncel olma,
c)    Belirli, açık ve meşru amaçlar için işlenme,
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza   edilme
şeklinde sayıldığı,

  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
  • İlgili kişinin veri sorumlusundan sigortalı olduğu, poliçeden doğan ve Tüketici Hakem Heyeti kararı ile kesinleşen tazminatın ilgili kişiye ödenebilmesi amacıyla veri sorumlusunun Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" ve (ç) bendinde belirtilen "Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" hukuki sebeplerine dayanarak ilgili kişinin banka bilgilerini işlediği ve somut olayın hukuka aykırılık teşkil etmediği,
  • Diğer taraftan veri sorumlusu ile ilgili kişi arasındaki sigorta sözleşmesinin/ilişkisinin sona erdiğini gösterir herhangi bir belgenin Kuruma sunulmadığı hususları ile veri sorumlusunun hasar dosyası kayıtlarında Tüketici Hakem Heyeti kararının yerine getirilmesi amacıyla yapılan ödemeye ilişkin hesap bilgilerinin yasal yükümlülük gereği 10 yıl muhafaza edileceği beyanı dikkate alındığında Kanun’un 7’nci maddesinin (1) numaralı fıkrası uyarınca ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmadığı 

değerlendirmelerinden hareketle; 

  • Veri sorumlusunun yasal temsilci vekâletnamelerinde “özel yetki” aramaması hususunda uyarılması, vekâletnamelerde “özel yetki” bulunması gerektiğine dair veri sorumlusu tarafından tanzim edilen ilgili kişi başvuru formu, aydınlatma metni ve kişisel verilerin korunması ile alakalı diğer dokümanlardan bu ibarenin kaldırılarak Kurula bilgi verilmesi ile Tebliğ’in 6’ncı maddesi uyarınca başvuruların gerekçesi açıklanarak reddedilmesi hususlarında veri sorumlusunun talimatlandırılmasına, 
  • Veri sorumlusunun, ilgili kişinin kişisel verileri niteliğindeki banka bilgilerini Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde belirtilen "Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" ve (ç) bendinde belirtilen "Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması" hukuki sebeplerine dayanarak işlediği değerlendirildiğinden şikâyete ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına,  
  • Kişisel verilerin silinmesi veya yok edilmesi talebinin yerine getirilmediği iddiası bakımından, ilgili kişi ile veri sorumlusu arasındaki sigorta sözleşmesinin/ilişkisinin devam ettiği, veri sorumlusunun yasal yükümlülüğü gereği ilgili kişinin kişisel verilerini muhafaza etmesi gerektiği dikkate alındığında Kanun’un 7’nci maddesi uyarınca ilgili kişinin kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmaması sebebiyle konu hakkında Kurul tarafından tesis edilecek bir işlem bulunmadığına

karar verilmiştir.